最高法采取限制面部识别技术滥用的第一步

2021年7月27日，最高人民法院发布了《关于审理使用人脸识别技术处个人信息相关民事案件适用法律若干问题的规定》（下称“《规定》”），全文共十六条，于8月1日生效，效力属于司法解释。《规定》本次侧重于消费者、用户的立法角度，以侵权入手，为消费者及用户在侵犯个人隐私信息案件的弱势地位，尤其是涉通过面部识别技术获得生物特征信息的案件中的弱势地位，提供了救济途径(即用户可主张其人格权收到损害，并要求按实际损失损害赔偿)。

人脸识别技术指采集的含有人脸的图像或视频流，基于脸部特征（以下简称 “脸部信息”）自动在图像中检测和跟踪人脸,并进行数据分析达到脸部识别目的的一系列相关技术。因人脸识别的便捷性、非接触性，该技术在中国使用广泛，乃至有被滥用的趋势。比如在2020年末,售楼处安装人脸识别系统分辨客户来源导致非介绍的购房者无法享受购房优惠，潜在购房者被逼带头盔看房以防止面部识别损失折扣的社会热点事件就是房地产末端的现实、人脸识别的滥用和对于个人隐私信息的泄露担忧混合导致的一场闹剧。而如果从广义的人脸识别来探讨，人脸识别领域还包括了在2019年引起舆论争议并被下架的AI换脸app“ZAO”。

不同于仅仅拍摄图像或视频片段而没有进一步存储识别目的监控设备，人脸识别因有进一步识别的目的或功能，其应用领域不仅包括了身份验证、识别，还包含了顾客数据分析、行为分析等与顾客个人隐私息息相关的部分。不可否认，人脸识别这一项前沿科技当前缺乏相应立法及政策对其形成有效的监管，因此，在社会发展及舆论推动下，对于人脸识别的监管势必渐渐完善加强。

在如此背景下，我们盼来了《规定》的出台。尽管《规定》只属于司法解释，但其为当前立法框架下全国层面的首个立法前的探索，仍旧具有不可忽视的重要性。在效力以及实用价值层面而言，因为法院和法官在审判过程中应遵循司法解释，《规定》就涉及人脸识别案件具有不下于法律的地位。另一方面，随着8月20日发布的新《中华人民共和国个人信息保护法》将于11月1日生效，我们很容易得出结论:《规定》是人脸识别这种前沿技术立法的第一步。

《规定》明确指出，人脸信息属于民法典第一千零三十四条规定的“生物识别信息”，为个人隐私信息保护的范畴，对人脸信息的收集、存储、使用、加工、传输、提供、公开等行为均属于“处理”人脸信息行为。

同时《规定》强调，对人脸信息的处理需要遵循“合法、正当、必要原则”，需要向用户明示处理的目的、方式、范围，并需要获得用户的明确、书面的同意。如人脸识别使用违反了上述合规要求的，法院应当认定该行为属于侵害自然人人格权益的行为。可以看出最高法对于人脸识别案件的认知主要从侵权角度入手。

此外，在此前2017年发布的《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》的基础上，《规定》还明确了通过滥用格式条款获得用户授权、通过捆绑授权的形式获取授权、通过不同意授权就不提供主要业务服务（对该业务而言人脸信息为必须的除外）获得的用户授权将无法用于抗辩。这对于目前用户、消费者在面对信息服务提供者的弱势地位上将构成一定的救济，但因其效力层级问题，具体效用将有待观察。

综上所述，我们可见相关人士期望法规具有能在一定程度上遏制或能阻止信息处理商滥用用户和客户的面部信息。具体结果及效力仍留待后续观察，与后续新实施的《数据安全法》、《个人信息保护法》一同参考。